WireGuard Современный VPN на скорости ядра, ~4 000 строк кода
VPN-протокол, достаточно маленький, чтобы аудировать его за полдня, и достаточно быстрый, чтобы насытить гигабитный канал.
Современный VPN-протокол, спроектированный Джейсоном Доненфельдом, влитый в основное ядро Linux в версии 5.6 (2020). Использует фиксированный, авторски-задуманный криптографический набор — Curve25519, ChaCha20, Poly1305, BLAKE2s, — работает полностью по UDP и аутентифицирует пиров по статическим публичным ключам. Эталонная реализация — меньше 4 000 строк кода, на порядок меньше, чем OpenVPN или IPsec.
«Личный VPN на VPS» — это наш самый распространённый начальный сценарий.
Значимая доля новых клиентов покупает начальный тариф VPS с 1 ГБ ровно для одной задачи: поднять WireGuard, направить на него ноутбук и телефон и перестать доверять тому потребительскому VPN-бренду, которому платили €12 в месяц. Математика неоспорима — VPS за €4/мес маршрутизирует трафик клиента с IP, принадлежащего им, а не из пула, разделяемого с тысячами незнакомцев и заранее помеченного на каждом captcha-барьере в вебе.
WireGuard — правильный протокол для этой задачи, потому что он быстр, прост и поставляется внутри ядра каждого современного дистрибутива Linux. Нет PKI для управления, нет CA, за которым нянчить, нет тёмного обсуждения шифров. Два публичных ключа, две конечные точки, строка allowed-IPs — и туннель поднят. Конфигурационный файл достаточно короток, чтобы закоммитить его в git-репо без смущения.
Операционно мы рекомендуем WireGuard для: приватности личного просмотра, удалённого доступа к домашним или офисным сетям, защищённых каналов между VPS в разных регионах и split-tunnel-конфигураций, где только конкретные назначения проходят через VPN. Страница сценария использования и пошаговое руководство покрывают набор распространённых паттернов.
Страницы, опирающиеся на этот термин.
Вопросы, которые люди реально задают.
Чем WireGuard отличается от OpenVPN?
WireGuard работает в пространстве ядра, использует фиксированный современный криптографический набор и имеет кодовую базу примерно в десять раз меньше, чем OpenVPN. Практический результат — пропускная способность, насыщающая гигабитный канал при скромном CPU, однозначно-миллисекундная задержка рукопожатия и конфигурационный файл, который можно прочитать за один присест. OpenVPN остаётся полезным для сред, требующих PKI на сертификатах или TCP-fallback по порту 443; WireGuard выигрывает по чистой производительности, поверхности аудита и операционной простоте.
Приватен ли WireGuard?
WireGuard шифрует и аутентифицирует весь трафик между пирами с помощью современной криптографии (Curve25519 для обмена ключами, ChaCha20-Poly1305 для канала данных). Пассивный наблюдатель на проводе видит только UDP-пакеты между двумя IP и не может прочитать содержимое. Однако WireGuard не скрывает того, что два конкретных пира общаются; для этого слоя приватности нужны инструменты вроде obfsproxy или Tor.
Могу ли я запустить свой собственный WireGuard-сервер на VPS NordBastion?
Да — это один из самых популярных сценариев для начальных VPS-тарифов на сайте. Узел с 1 ГБ RAM и одним vCPU комфортно терминирует WireGuard для небольшой команды или домохозяйства. Пошаговое руководство занимает около пятнадцати минут от «я только что получил root-пароль» до «мой телефон сёрфит через VPS».
Работает ли WireGuard на мобильных?
Да. Официальные приложения WireGuard опубликованы для iOS и Android, оба хорошо поддерживаются и свободны от трекеров. Роуминговое поведение — поддержание туннеля живым при переходах Wi-Fi/сотовая сеть и сменах IP — одно из выдающихся свойств протокола и на современных телефонах работает по сути прозрачно.